【図解】SSL/TLSとは何か？仕組みや導入方法をわかりやすく解説します

2019.06.20
レンタルサーバー基礎知識

インターネット上で個人情報を守るためには、SSLを導入することが必要不可欠です。今回は、そのSSLとは何か？SSL通信の仕組み、導入方法（無料含む）について初心者に向けてわかりやすく解説します。

2016.12.21 執筆　2019.06.20 更新

SSLとは？暗号通信の仕組み

SSLとはSecure Sockets Layerの略で、送受信しているデータを暗号化する通信手順です。実際にSSL化されているかを確認する最も簡単な方法は、以下の2点です。

ブラウザに入力するWebサイトのURLアドレスが、httpsから始まっている
ブラウザのURLアドレス入力欄の脇に、鍵のマークが出現している

SSLとともに、TLSという用語があることに気づいている方も多いのではないでしょうか。SSL/TLSと併記されているので、何らかの関連があるのでしょうか。

結論から言えば、SSL（Secure Sockets Layer）とTLS（Transport Layer Security）には大きな違いがありません。SSLの代表的なブランドであるシマンテックのサイトには、両者の違いとして、通信手順のバージョンに違いがあることが書かれています。

新しい方がTLSですが、SSLの方がわかりやすいですね。そこで、現状では単にSSLと言ったり、SSL/TLSと併記したりしています。

SSL通信の流れと仕組み

SSL通信が成立するまでには、以下のように2段階に分かれます。（受信者＝サーバー、送信者＝ブラウザと考えると分かりやすいです。）

第1段階 (事前準備)

公開鍵暗号方式

1) 受信者（サーバー）は送信者（ブラウザ）に「公開鍵」と「SSLサーバー証明書」を送付

2) 送信者（ブラウザ）は「公開鍵」を使って「共通鍵」を暗号化

3) 送信者（ブラウザ）は受信者（サーバー）に暗号化された「共通鍵」を送付

4) 受信者（サーバー）は「共通鍵」を「秘密鍵」で復号

※ここで言う復号とは、暗号を元に戻す仕組みのことです。

第2段階 (本番)

共通鍵暗号方式

5) 受信者（サーバー）と送信者（ブラウザ）双方　上記でできた「共通鍵」を使って、本番データを暗号化と復号

SSLサーバー証明書とは

さて、上記の比較表にある公開鍵が、そもそも正しい鍵かどうかを証明する手段として、この「SSLサーバー証明書」が必要になってきます。この仕組みにより、なりすましの防止ができます。

なお、SSLサーバー証明書を発行する機関のことを認証局(CA= Certification Authority)と呼んでいます。専用サービスの申込みでは、費用と時間がかかります。もちろんこの場合には、利用者は安全にWebサイトを利用することができます。ブラウザ上でhttpsと入力後に、安全性にかかわる警告メッセージは、当然表示されません。

SSLの3つの役割

インターネット上では、誰でも自由にどのようなデータでもやり取りすることができます。ところが、この自由さを逆手にとって悪用する輩がいるために、わざわざ防御する必要が出てきました。

データの盗用や悪用による損害を防ぐ最も有効な手段の一つとして、SSLによる盗聴・改ざん・なりすましの防止があります。では、それぞれの防止策の内容と目的はどのようなものでしょうか。

（1）データの盗聴を防ぐ

例えば、オンラインショッピング中に行き交っているデータを盗み見て、個人のクレジットカード番号や付随する重要情報を不正に入手されることを防ぐことです。

もしデータをSSL暗号化していないとクレジットカード情報が悪用される危険性が高まり、場合によっては相当な金銭的損害が発生します。

企業の場合でも同様です。あってはならないことですが、社外秘の機密情報データが筒抜けになってしまい、企業が膨大な損害を被ることが想定されます。

（2）データの改ざんを防ぐ

先のオンラインショッピングの例で言えば、行き交っているデータに侵入されて、注文数を書き換えられてしまうことも考えられます。そうなると顧客ばかりでなく、店舗側にも大きな損害を発生させることになります。

このようにデータをそのままの完全な状態で伝送するためには、SSLでの暗号化が必要です。

（3）なりすましを防ぐ

再びオンラインショッピングの例では、店舗の運営者と偽って、顧客から不正に金銭を得たり、顧客の個人情報を入手したりする危険性があります。

これを防ぐ目的として、Webサイトの運営企業が本当に存在し、利用しているドメイン(URLアドレス)の正しい所有者であることを証明する、というもう一つの任務がSSLにはあります。

次章でも解説しますがこれらのSSL証明には種類があり、信頼性の高い「企業認証型」、より認証が厳格で信頼性の高い「EVタイプ」を導入すると効果的です。

SSLの導入について

ここまでは、SSLの仕組みについて解説してきました。ここからは、いよいよ実際の導入や選び方などを解説していきます。

共有SSLと独自SSLの選び方

以下の比較表の通り、それぞれにメリットとデメリットがあるため、用途に応じて選択するのが望ましいのではないでしょうか。

	共用SSL	独自SSL
概要	レンタルサーバー会社がその会社のドメイン用に取得したSSLを、複数の利用者が共有して利用する	利用者独自で申請し、取得する
メリット	・手続きが非常に簡単・SSLの更新手続き不要・基本的に無料	・安全性をしっかりアピールできる・独自ドメインで利用できる
デメリット	・安全性をアピールしづらい・独自ドメインでは利用できない	・手続きと設定が煩雑で時間がかかる・相当の費用がかかる・更新手続きが必要(:1年毎など)
費用	レンタルサーバー会社のサービス利用者は基本的に無料	年間で数万円から数十万円(SSLのブランドによる)
用途	個人情報や機密情報を扱わない、個人サイト	・重要な個人情報を扱うECサイト・信頼性が求められる法人サイト

SSLサーバー証明書の種類

次に、審査内容の程度によって取得可能なSSL証明書について、比較検討してみましょう。

	ドメイン認証型	企業認証型	EVタイプ
審査内容	登録ドメインの確認のみ	企業の実在性を認証	・企業の実在性を厳格に認証・なりすまし対策可
信頼性	中	高	最高
実在性確認^※	無	有	有
手続き	簡単	煩雑	より煩雑
デメリット	安全性がやや弱い	費用と時間がかかる	費用と時間が大いにかかる
費用	低	中	高
対象	主に個人	企業	企業
その他			ブラウザのアドレスバーに利用者の名称を表示する

※(注)「実在性確認」とは
SSL発行会社が、組織の存在を帝国データバンクなどの社会的に信頼された第三者機関が保有するデータベース記載の代表電話に電話して、申請者の実在や申し込みの意思確認を行います。
これにより、申請内容が正しいことや、申請組織や担当者が実際に存在していることなどを確認されます。

SSLの低価格化や無料化の動き

以前のSSL販売市場は、ほぼ寡占状態でした。発行会社は限られ、高品質のサービスを比較的高額で提供されていました。ところが、StartSSLが無料提供を始めた2014年頃から、サービス内容を絞り、より低価格のサービスが現れてきました。

そしてGoogleは2015年12月に、ウェブマスター向け公式ブログ上で、SSL化されたWebサイトのページを検索結果で優遇すると発表しました。より安全なインターネット利用を促進するGoogleのこの動きは、むしろ自然な流れと言えます。

それまでは、個人情報などの大事な情報を扱うページのみにSSLをかけていれば良いと考えられていましたが、この宣言により、Webサイトの管理者は全てのページをSSL化する必要が出てきました。この動きに拍車をかけたのが、2016年のSSL無料化(Let’s Encrypt)の動きです。

それでは従来型の企業認証型/EVタイプと新興型のドメイン認証型を、メリット・デメリットを整理して比較してみましょう。

	企業認証型 / EVタイプ	ドメイン認証型
信頼性	非常に高い	比較的低い
主なサービス名	・Symantec (旧ベリサイン) ・GeoTrust ・セコムパスポート	【低価格】・RapidSSL 【無料】・Let’s Encrypt ・StartCom
費用	年間数万円から数十万円	年間数千円または無料
主な対象	企業のメインのWebサイト	・企業のランディングページ(宣伝用) ・個人のWebサイト